[LUGOS] Firewall

Marko Ivanuša mivanu at gmail.com
Sat Mar 24 18:04:37 CET 2007


24.3.07 je Iztok Umek <iztok na si-con.com> napisal/-a:
> Jaz bi se izogibal ISS IPSom. Pa se IPS bi postavil pred FW.
>
> Router (no, pri 100M uplinku imas verjetno kar etnernet dropoff tako da
> se routerja ne potrebujes) - IPS (tukaj bi predlagal nekaj, z advanced
> behavioral DoS, Recimo Radware DefensePro 3.10) - FW - switch.
>
> Seveda ce gres recimo na DefensePro 620 ti pokriva lahko 5 segmentov kar
> iz skatle, ce kupis se nekaj gbicov pa se dodatne stiri.
>
> Za CheckPoint (ali ASA) je znano, da njihov vgrajeni IPS on DoS je bolj
> v kurcu, tako da bi jaz zadevo splitnil v dve razlicni.
>
> Aja, pa se to, skoraj vsi FWji in mnogi IPSi tecejo na PCjih (CheckPoint
> recimo ima trdi disk, pa ASA tudi, pa ISS IPS tudi, TippingPoint tudi
> etc...). Radware pac ne. Aja, DefensePro v kombinaciji z AppXcel zna
> lepo dekriptirati tudi SSL promet, ki se konca na tvojih streznikih in
> le te sciti tudi pred napadi, ki gredo preko HTTPS, kar ostali ne znajo
Saj stvar elegantno rešiš z mirrorjem :) Da pa odpovesta oba diska,
pol pa imaš nesrečo.
Glede SSL:
Ta stvar ni tako trivijalna. Dela na principu proksijev. V svoj sistem
integriraš proksi, imaš en hop več.

>
> Ce te zanima mocen DoS shield, pa ti sploh priporocam zadevo, ki sciti
> EBay ze nekaj let (Radware je sprva razvil DoS shield zanj).
>
>
> Marko Ivanuša wrote:
> > Tudi jaz bi priporočil CheckPointa (Smart defanse), predvsem iz
> > razloga, kot je manegament in samo spremljanje kaj se dogaja na FW.
> > (po novem non-pc)
> >
> > Cisco ASA (možen modul IPS)je vredu zadeva, vendar manegament je v ku...
> >
> > Drugače pa imaš na izbiro namenske škatle, ki pa imajo to "hibo", da
> > so bodisi FW (z slabim IPS-om), IPS (z slabim FW), itd ... (seveda ne
> > mislim kvaliteto temveč manegment in nadzor delovanja)
> >
> > Če pa denar ni problem:
> >
> > router (CISCO)->FW Checkpoint -> IPS (ISS)->switch (CISCO) in boš
> > mirno spal (seveda če imaš človeka ki ve kaj dela !!!!!!)
> >
> > lp
> > Marko
> >
> > 23.3.07 je Stojan Rancic <stojan na aufbix.org> napisal/-a:
> >> Iztok Umek wrote:
> >> > Jaz bi razdelil v dve stvari.
> >> >
> >> > Firewall (prisegam na CheckPoint po kar lepem stevilu let izkusenj)
> >> >
> >> > IPS (tukaj bi ti predlagal eno skatlo, ki podpira vec segmentov
> >> recimo 5
> >> > ali vec, da lahko postavis na razlicna mesta). Hkrati pa (ce denar ni
> >> > toliko problem) se dodatno nekaj, kar podpira SSL. Vecina IPSov namrec
> >> > ne odkrije napadov ki pridejo preko HTTPS, ker so kriptirani. IPS pred
> >> > pozarnim zidom, nekaj, kar podpira BWM (bandwidth management) in po
> >> > moznosti se zascito pred DoS in DDoS.
> >> >
> >> > Pri slednjem sem pristranski, ce hoces podrobnosti, mi mailaj
> >> osebno (pa
> >> > ti verjetno lahko zrihtam kaksen dober deal)
> >>
> >> Iz podobnih vzgibov bi ti jaz priporocal kak Cisco ASA box .. poslji
> >> mail osebno, ce te zanima ;)
> >>
> >> Lp, Stojan
> >>
> >> _______________________________________________
> >> lugos-list mailing list
> >> lugos-list na lugos.si
> >> http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list
> >>
> > ------------------------------------------------------------------------
> >
> > _______________________________________________
> > lugos-list mailing list
> > lugos-list na lugos.si
> > http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list
> >
>
> _______________________________________________
> lugos-list mailing list
> lugos-list na lugos.si
> http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list
>


More information about the lugos-list mailing list